Ex-negociador de ransomware admite culpa por trair vítimas e atuar ao lado do grupo BlackCat
Um dos papéis mais sensíveis do ecossistema de resposta a incidentes de segurança – o negociador de ransomware – acaba de ganhar um caso emblemático nos Estados Unidos. Angelo Martino, que trabalhava justamente para auxiliar empresas atacadas a reduzir prejuízos em sequestros de dados, reconheceu ter colaborado com o grupo de cibercriminosos ALPHV/BlackCat e traído as organizações que o contrataram.
Martino integrava uma empresa de resposta a incidentes identificada nos documentos judiciais como “Company-1”, ligada à DigitalMint. A função oficial era clara: apoiar vítimas de ransomware durante as negociações, ajudando a diminuir os valores de resgate e mitigar riscos. Na prática, porém, ele utilizava esse acesso privilegiado para alimentar diretamente os criminosos com informações estratégicas.
Após o ataque inicial e o bloqueio dos sistemas por meio de ransomware, as empresas afetadas procuravam especialistas externos para conduzir conversas com os invasores. Nesse momento, Martino passava a ter contato com dados sigilosos, como detalhes de apólices de seguro cibernético, limites máximos de cobertura, capacidade financeira das vítimas e até a disposição interna de pagamento. Em vez de proteger esse conhecimento, ele o repassava ao grupo ALPHV/BlackCat.
Esse fluxo de informações fortalecia a posição de barganha dos criminosos. De posse de números exatos e da leitura do “apetite” da vítima para pagar, os hackers ajustavam o valor do resgate e a tática de pressão, elevando de forma expressiva as quantias exigidas. Assim, a negociação, que deveria funcionar como mecanismo de contenção de danos, tornava-se um multiplicador de prejuízo.
O caso, porém, foi além da simples traição às empresas atacadas. Martino admitiu também ter participado de forma ativa em campanhas de ransomware, ao lado de outros dois acusados – Ryan Goldberg e Kevin Martin – entre abril e novembro de 2023. O trio estaria envolvido não só na fase de negociação, mas também na própria implantação do malware em diversos alvos, abandonando qualquer aparência de neutralidade profissional.
Os valores movimentados são significativos. Registros judiciais apontam que uma empresa do setor de hospitalidade desembolsou aproximadamente 16,4 milhões de dólares em resgates. Uma organização sem fins lucrativos teria pago perto de 26,8 milhões de dólares. Já uma companhia de serviços financeiros arcou com mais de 25,6 milhões de dólares. Há ainda um caso envolvendo uma varejista, que pagou cerca de 6,1 milhões de dólares, e uma instituição da área médica, que desembolsou aproximadamente 213 mil dólares.
Somando os episódios em que atuaram diretamente nos ataques, Martino, Goldberg e Martin teriam exigido mais de 16 milhões de dólares em resgates. Além disso, lucraram em operações nas quais apareciam como intermediários “oficiais”, mascarando sua real função. Parte do dinheiro foi dividida entre os envolvidos e posteriormente lavada para ocultar a origem ilícita, em um esquema que incluía múltiplas camadas de transações financeiras.
As autoridades norte‑americanas já apreenderam cerca de 10 milhões de dólares em ativos ligados a Martino. Entre os bens confiscados estão criptomoedas, veículos de luxo, imóveis, um food truck e até um barco de pesca adquirido com o dinheiro vindo das extorsões. Dois imóveis localizados na Flórida também estão em processo de confisco, reforçando a dimensão patrimonial do esquema.
Esse episódio acende um alerta importante para o setor de cibersegurança: o risco representado por insiders em empresas que atuam justamente na linha de defesa contra o crime digital. Em momentos de crise, organizações vítimas de ransomware depositam enorme confiança em consultorias externas, provedores de resposta a incidentes e negociadores especializados. Quando essa camada é corrompida, todo o modelo de gestão de crise fica comprometido.
Mais do que uma falha técnica, o caso evidencia uma vulnerabilidade humana e processual. Ferramentas de segurança, backups e controles de acesso podem estar em dia, mas se um profissional com acesso privilegiado decide colaborar com criminosos, a superfície de ataque se expande de forma dramática. Isso força empresas e provedores de serviços a repensar processos de due diligence, controles internos, segregação de funções e supervisão de equipes que lidam com incidentes.
Do ponto de vista estratégico, o comportamento do grupo ALPHV/BlackCat mostra um grau elevado de maturidade criminosa. Em vez de se limitar à exploração de vulnerabilidades tecnológicas, os operadores buscaram explorar elos de confiança na cadeia de resposta, infiltrando-se em estruturas que deveriam proteger as vítimas. Ao somar engenharia social, cooptação de insiders e expertise técnica, o grupo ampliou o retorno financeiro de suas operações.
O ALPHV/BlackCat é conhecido por adotar o modelo de Ransomware-as-a-Service (RaaS), no qual desenvolvedores fornecem a infraestrutura de ataque e afiliados executam campanhas em troca de uma parcela dos lucros. Suas operações costumam combinar criptografia de dados, exfiltração de informações sensíveis e o chamado modelo de extorsão dupla: ameaça de manter os sistemas fora do ar e, ao mesmo tempo, de divulgar dados roubados caso o resgate não seja pago. Ao contar com alguém inserido no lado “defensivo” da equação, esse modelo torna-se ainda mais eficiente.
Martino aguarda sentença, prevista para julho, enquanto Goldberg e Martin devem enfrentar julgamento ainda em abril. A acusação inclui crimes como conspiração para cometer fraude eletrônica e lavagem de dinheiro, o que pode levar a penas de até 20 anos de prisão para cada um dos envolvidos, a depender da decisão judicial e dos acordos firmados com as autoridades.
Para as empresas, o caso traz lições práticas sobre governança e gestão de terceiros em cibersegurança. A contratação de consultorias e negociadores deve vir acompanhada de critérios rígidos de seleção, checagem de antecedentes, cláusulas contratuais específicas de confidencialidade, além de mecanismos de auditoria e monitoramento da atuação desses profissionais. A confiança não pode ser cega, mesmo em situações de extrema pressão.
Uma medida relevante é adotar o princípio do “menos privilégio” também em times de resposta a incidentes. Nem todo profissional envolvido em um caso precisa ter acesso a detalhes completos de apólices de seguro ou informações financeiras estratégicas. Quanto mais segmentado for o acesso e mais bem registradas forem as ações realizadas, menor o espaço para abusos e vazamentos intencionais.
Outro ponto essencial é preparar a alta gestão para lidar com incidentes de forma estruturada, reduzindo a dependência exclusiva de um único consultor ou intermediário. Ter um plano de resposta a incidentes documentado, com papéis claros para jurídico, tecnologia, compliance e comunicação, ajuda a tomar decisões mais racionais sob pressão, inclusive sobre se negociar ou não com criminosos e como conduzir essa interlocução.
O fortalecimento da cultura de segurança interna também pode mitigar riscos. Organizações que tratam a cibersegurança como tema estratégico – com treinamentos regulares, simulações de incidentes, políticas claras e envolvimento da diretoria – tendem a reagir melhor quando um ataque ocorre. Isso inclui maior capacidade de questionar recomendações externas, pedir segunda opinião técnica e recusar práticas antiéticas ou pouco transparentes.
A supervisão de equipes de resposta terceirizadas deve incluir, sempre que possível, indicadores objetivos de desempenho e revisões pós-incidente. Analisar, após o fechamento de um caso, quais decisões foram tomadas, quais dados foram compartilhados, qual foi o fluxo de comunicação e quais foram os impactos financeiros permite identificar anomalias e possíveis sinais de conluio ou má conduta.
Para provedores de serviços de resposta a incidentes, o escândalo envolvendo Martino é um sinal de alerta para investir em controles internos robustos. Políticas de ética, canais de denúncia eficazes, monitoramento de atividades suspeitas, revisão periódica de acessos e rodízio em equipes sensíveis são práticas que ajudam a reduzir a probabilidade de que um funcionário se torne cúmplice de grupos criminosos.
Por fim, o caso reforça a necessidade de discutir o próprio modelo de negociação com grupos de ransomware. Embora, em alguns cenários, pagar o resgate seja visto por empresas como a única forma de recuperar rapidamente operações críticas, essa decisão carrega implicações legais, éticas e estratégicas. Além de financiar e fortalecer o ecossistema criminoso, episódios como o de Martino mostram que até mesmo a tentativa de “minimizar danos” por meio de negociadores pode ser explorada pelos próprios atacantes.
A combinação de ataques sofisticados, cooptação de insiders e grandes somas em jogo demonstra que o ransomware continua sendo uma das ameaças mais lucrativas e perigosas do cenário atual. Para enfrentar esse desafio, será cada vez mais necessário olhar além da tecnologia e dedicar atenção igual às pessoas, processos e à integridade de toda a cadeia envolvida na resposta a incidentes.